IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen
IntzugIP-TKVermCNRichtl - Allgemeine Richtlinie zur Nutzung des zentralen Internetzuganges, des Mailsystems und der zentralen IP-TK-Vermittlung des Corporate Network (CN) des FreistaatsThüringen |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Thüringen |
| Rechtsakt | Untergesetzlich |
2. Zentraler Internetzugang
Die Nutzung des CN und des Übergangs vom CN zum Internet ist grundsätzlich nur für dienstliche Zwecke gestattet.
Eine private und unentgeltliche Nutzung des CN zum Abruf von Internetinhalten in geringfügigem Umfang durch Bedienstete des Freistaats Thüringen ist zulässig. Von einer geringfügigen privaten Nutzung kann dann ausgegangen werden, wenn der Umfang der privaten Nutzung die üblichen Pausenzeiten nicht übersteigt und die Erfüllung der dienstlichen Verpflichtungen nicht beeinträchtigt wird.
Die Interessen des Freistaats Thüringen oder dessen Ansehen in der Öffentlichkeit sowie die Sicherheit und Funktionsfähigkeit des CN sind in keinem Fall zu beeinträchtigen.
Unzulässig sind im Rahmen der privaten Nutzung insbesondere
das Abrufen oder Verbreiten rechtswidriger sowie ansehensschädigender Inhalte, beispielsweise
- Inhalte, die gegen urheberrechtliche oder strafrechtliche Bestimmungen verstoßen,
- beleidigende, verleumderische, verfassungsfeindliche, rassistische, sexistische, gewaltverherrlichende, terroristische, diskriminierende oder pornografische Inhalte oder Abbildungen,sowie technisch problematische oder sicherheitsrelevante Nutzung wie beispielsweise
- das Abrufen / Laden (download) von ausführbaren Programmen,
- das Abrufen / Laden kostenpflichtiger Informationen,
und das Netz stark belastende Nutzungen, wie beispielsweise
- die Nutzung von Streaming-Angeboten, wie Video-Streaming, Internet-Radio
- das Abrufen / Laden bzw. Bereitstellen (download und upload) von Dateien (Filme, Musik, Bilder)
- die Teilnahme an und das Betreiben von Netzspielen, Abstimmungen, Foren, Chats, Internetauktionen, Sozialen Netzwerken und ähnlichen interaktiven Vorgängen,
sowie die private Nutzung für gewerbliche oder geschäftsmäßige Interessen. Zulässig sind Rechtsgeschäfte des täglichen Lebens, sofern sie nicht einem der vorgenannten Punkte zuzuordnen sind. Das Speichern privat abgerufener Internetinhalte und deren Weiterleitung ist nicht zulässig.
Das Abrufen / Aufrufen des privaten E-Mail Postfachs (z.B. bei t-online.de, web.de, gmx.de) ist im Rahmen der geringfügigen privaten Mitbenutzung des CN zum Abruf von Internetinhalten zulässig. Dabei ist es grundsätzlich zu unterlassen, dienstliche Daten an oder über das private E-Mail Postfach zu versenden. Sofern begründete Ausnahmen von dieser Regel erforderlich sind, muss ein dienstlicher Bezug bestehen und Sicherheits- sowie Datenschutzanforderungen sind zu beachten. Das Speichern privater E-Mails und deren Anlagen ist nicht zulässig.
Bei Ausfällen oder Störungen des CN-Betriebs und damit Gefährdung der dienstlichen Nutzung, können entsprechende Gegenmaßnahmen ergriffen werden (Einschränkung des Zugriffs auf bestimmte Web-Seiten, dauerhafte oder vorübergehende Einschränkungen der privaten Nutzung für alle Nutzer oder zu bestimmende Nutzergruppen).
Weiterhin ist in begründeten Fällen die dauerhafte oder vorübergehende Einschränkung der privaten Nutzung für den CN-Anschluss einzelner Dienststellen für alle Nutzer oder zu bestimmende Nutzergruppen durch organisatorische oder technische Maßnahmen möglich.
Es wird daher keine ständige Verfügbarkeit der Möglichkeit der privaten Nutzung garantiert. Bei der Möglichkeit der privaten Nutzung des Internetzugangs handelt es sich um eine freiwillige, jederzeit widerrufbare Leistung ohne Rechtsanspruch der Bediensteten.
4. Sicherheits- und Kontrollmaßnahmen
Die Sicherstellung der Integrität und Vertraulichkeit des Datenverkehrs im CN wird durch verschiedene technische und organisatorische Maßnahmen gewährleistet. So ist der Datenverkehr innerhalb des CN verschlüsselt und an zentralen Stellen sind Firewallsysteme installiert. Die Einzelheiten sind in der jeweils aktuellen Fassung des Sicherheitskonzepts des CN geregelt. Das CN ist daher grundsätzlich als sicheres Transportmedium für Daten anzusehen.
Die Verantwortlichkeit für die übermittelten bzw. auszutauschenden Daten, die lokalen Netzwerke und der darin betriebenen Hard- und Software verbleibt weiterhin in der fachlichen Zuständigkeit des jeweiligen Ressorts. So ist bspw. durch die Ressorts sicherzustellen, dass auf dafür genutzten Endgeräten grundsätzlich ein lokaler Virenschutz mit aktuellen Virendefinitionen installiert ist.
Grundsätzlich werden E-Mail-Inhalte nicht protokolliert oder ausgewertet. Zur Sicherstellung der technischen Funktionsfähigkeit können jedoch an zentraler Stelle E-Mail-Verkehrsdaten protokolliert werden. Dabei können folgende personalisierte Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Absender
- Adressat
- Zustellstatus.
Weiterhin können zur Sicherstellung der technischen Funktionsfähigkeit an zentraler Stelle pseudonymisierte Verbindungsdaten (IP-Adresse als Pseudonym) des Kommunikationsverkehrs mit dem Internet protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Zieladresse, bestehend aus der kompletten URL
- Absenderadresse (pseudonymisierte Rechneridentifikation).
Zur Sicherstellung der technischen Funktionsfähigkeit der zentralen IP-TK-Vermittlung können Verbindungsdaten der IP-Telefonie protokolliert werden. Dabei können folgende Daten aufgezeichnet werden:
- Datum
- Uhrzeit
- Nummer der Anrufers
- Zielrufnummer.
Es erfolgt keine Protokollierung der Gesprächsinhalte. Die besonderen Anforderungen der Personalvertretungen an die Vertraulichkeit werden gewährleistet. Beim Einsatz von FreeCall-Calling Cards im Rahmen von Privatgesprächen erfolgt grundsätzlich keine Speicherung der PIN oder der Zielrufnummer.
Die Überprüfungen erfolgen grundsätzlich stichprobenartig und zeitbegrenzt. Protokollierte Daten werden ausschließlich zur Aufrechterhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler im Netz, zur Optimierung der Rechnerleistungen im Netzwerk gespeichert und ausschließlich für diese Zwecke verwendet. Für eine Verwertung zur Verhaltens- und Leistungskontrolle der Bediensteten dürfen sie nicht genutzt werden (§ 33 Abs. 4 ThürDSG).
Alle im Rahmen der stichprobenartigen Überprüfungen erfassten E-Mail-Verkehrsdaten, Verbindungsdaten des Kommunikationsverkehrs mit dem Internet und Verbindungsdaten der IP-Telefonie werden nur im erforderlichen Umfang zur Erfüllung der beschriebenen Zwecke, jedoch maximal 21 Tage gespeichert und danach regelmäßig unumkehrbar gelöscht.
Eine Unterscheidung von dienstlicher und privater Nutzung auf technischem Weg erfolgt nicht. Die Protokollierung und Kontrolle erstrecken sich deshalb auch auf den Bereich der privaten Nutzung des Internetzugangs und der IP-Telefonie.
Der Zugriff auf die Protokolldaten ist grundsätzlich auf die Bediensteten begrenzt, die für den Netzwerkbetrieb und die Bereitstellung der verfügbaren Dienste zuständig sind. Diese Personen sind verpflichtet, sich an die beschriebene Zweckbindung zu halten und außerhalb der beschriebenen Zwecke keine Detailinformationen aus den Protokollen weiterzugeben. Weiterhin sind die mit der CN-Administration beauftragten Bediensteten hinsichtlich der Sicherheitsmaßnahmen und -anforderungen sowie der einzuhaltenden datenschutzrechtlichen Vorschriften geschult und belehrt.
Eine automatisierte Vollkontrolle ist hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Dazu wird auf Anforderung durch das jeweilige Ressort eine Protokollierung der personalisierten E-Mail-Verkehrsdaten und der pseudonymisierten Verbindungsdaten des Kommunikationsverkehrs mit dem Internet durch die die Fachaufsicht über das TLRZ ausübende Behörde angeordnet. Die betreffenden pseudonymisierten Verbindungsdaten übersendet das TLRZ zur weiteren Veranlassung direkt an das jeweilige Ressort. Eine eindeutige Identifizierung eines Einzelnen liegt ausschließlich im Verantwortungsbereich des jeweiligen Ressorts und setzt ggf. weitere Protokollierungen und Auswertungen unter Einbindung des behördlichen Datenschutzbeauftragten und der zuständigen Personalvertretung in Zuständigkeit des jeweiligen Ressorts voraus.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 431
DAkkS 71SD2016:2018-01
Deutsch: Beschlüsse des SK IT-IS-DS - Informationstechnik, -Sicherheit und Datenschutz
Englisch: —
Ergebnis 432
DAkkS 71SD2017:2018-04
Deutsch: Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Funktionalen Sicherheit von elektrischen, elektronischen und programmierbaren Systemen (kurz: FuSi)
Englisch: —
Ergebnis 433
DAkkS 71SD2019:2018-03
Deutsch: Akkreditierungsanforderungen für Konformitätsbewertungsstellen im Bereich der Informationssicherheit/Cyber-Security für industrielle Automatisierungssysteme gemäß IEC 62443; Revision 1.0
Englisch: —
Ergebnis 434
ISO/IEC 9796-2:2010-12
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Digitale Signaturschemata welche die Nachricht wieder herstellen - Teil 2: Mechanismen basierend auf Integer Faktorisierung
Englisch: Information technology - Security techniques - Digital signature schemes giving message recovery - Part 2: Integer factorization based mechanisms
Ergebnis 435
ISO/IEC 9796-3:2006-09
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Digitale Signaturschemata welche die Nachricht wieder herstellen - Teil 3: Mechanismen basierend auf diskreten Logarithmen
Englisch: Information technology - Security techniques - Digital signature schemes giving message recovery - Part 3: Discrete logarithm based mechanisms
Ergebnis 436
ISO/IEC 9797-1:2011-03
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 1: Mechanismen die eine Blockchiffre verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 1: Mechanisms using a block cipher
Ergebnis 437
ISO/IEC 9797-2:2011-05
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 2: Mechanismen die eine dedizierte Hash Funktion verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 2: Mechanisms using a dedicated hash-function
Ergebnis 438
ISO/IEC 9797-3:2011-11
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Message Authentication Codes (MACs) - Teil 3: Mechanismen die eine universelle Hash Funktion verwenden
Englisch: Information technology - Security techniques - Message Authentication Codes (MACs) - Part 3: Mechanisms using a universal hash-function
Ergebnis 439
ISO/IEC 9798-1:2010-07
Deutsch: Informationstechnik - IT Sicherheitsverfahren - Authentifikation von Instanzen - Teil 1: Allgemeines Modell
Englisch: Information technology - Security techniques - Entity authentication - Part 1: General
Ergebnis 440
ISO/IEC 9798-2:2019-06
Deutsch: Informationstechnik - IT-Sicherheitsverfahren - Authentifikation von Instanzen - Teil 2: Mechanismen auf Basis von Verschlüsselungsalgorithmen
Englisch: Information technology - Security techniques - Entity authentication - Part 2: Mechanisms using symmetric encipherment algorithms